Alert GCSA-24123 - Aggiornamento di sicurezza per GitLab
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-24123
data: 26 settembre 2024
titolo: Aggiornamento di sicurezza per GitLab
******************************************************************
:: Descrizione del problema
GitLab ha rilasciamo le nuove versioni, in programma, della propria piattaforma
con le quali risolve alcune vulnerabilita' di sicurezza.
Sono state inoltre pubblicate nuove release, fixate tramite backport, di versioni precedenti del software,
per risolvere anche in queste la vulnerabilita' critica
SAML authentication bypass
https://nvd.nist.gov/vuln/detail/CVE-2024-45409
Il produttore consigla vivamente di aggiornare in modo rapido tutte le installazioni autogestite di GitLab.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
GitLab Community Edition (CE)
GitLab Enterprise Edition (EE)
versioni precedenti alla 17.4.1, 17.3.4, 17.2.8
versioni precedenti alla 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8, 16.0.10
:: Impatto
Rivelazione di informazioni (ID)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Aggiornare alle ultime versioni
https://about.gitlab.com/update
https://docs.gitlab.com/ee/update/
:: Riferimenti
GitLab Security Release
https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-17-4-1-released/
https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-16-10-10-released/
GitLab - security best practices
https://about.gitlab.com/blog/2022/03/21/security-hygiene-best-practices-for-gitlab-users/
https://about.gitlab.com/blog/2020/05/20/gitlab-instance-security-best-practices/
https://about.gitlab.com/security/hardening/
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZvVsHg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCV2EAn3TCoz/3UzzqYPai6iaIZaOwVBl2AKDC3+XhDwo/
PYgLhV3Fs2Pflz3yPA==
=YDbn
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-24123
data: 26 settembre 2024
titolo: Aggiornamento di sicurezza per GitLab
******************************************************************
:: Descrizione del problema
GitLab ha rilasciamo le nuove versioni, in programma, della propria piattaforma
con le quali risolve alcune vulnerabilita' di sicurezza.
Sono state inoltre pubblicate nuove release, fixate tramite backport, di versioni precedenti del software,
per risolvere anche in queste la vulnerabilita' critica
SAML authentication bypass
https://nvd.nist.gov/vuln/detail/CVE-2024-45409
Il produttore consigla vivamente di aggiornare in modo rapido tutte le installazioni autogestite di GitLab.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
GitLab Community Edition (CE)
GitLab Enterprise Edition (EE)
versioni precedenti alla 17.4.1, 17.3.4, 17.2.8
versioni precedenti alla 16.10.10, 16.9.11, 16.8.10, 16.7.10, 16.6.10, 16.5.10, 16.4.7, 16.3.9, 16.2.11, 16.1.8, 16.0.10
:: Impatto
Rivelazione di informazioni (ID)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Aggiornare alle ultime versioni
https://about.gitlab.com/update
https://docs.gitlab.com/ee/update/
:: Riferimenti
GitLab Security Release
https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-17-4-1-released/
https://about.gitlab.com/releases/2024/09/25/patch-release-gitlab-16-10-10-released/
GitLab - security best practices
https://about.gitlab.com/blog/2022/03/21/security-hygiene-best-practices-for-gitlab-users/
https://about.gitlab.com/blog/2020/05/20/gitlab-instance-security-best-practices/
https://about.gitlab.com/security/hardening/
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZvVsHg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCV2EAn3TCoz/3UzzqYPai6iaIZaOwVBl2AKDC3+XhDwo/
PYgLhV3Fs2Pflz3yPA==
=YDbn
-----END PGP SIGNATURE-----